Vulnerabilidad XXS Persistente en el IDE de AVEVA Application Server

Vulnerabilidad de Cross-Site Scripting Persistente en el IDE de AVEVA Application Server

AVEVA ha publicado una actualización de seguridad para abordar una vulnerabilidad en el componente Integrated Development Environment (IDE) de AVEVA Application Server.
Las versiones afectadas son:

• Application Server 2023 R2 SP1 P02.
• Todas las versiones anteriores.

Detalles técnicos de la vulnerabilidad

La vulnerabilidad, si es explotada, podría permitir que un actor malicioso autenticado (con privilegios “aaConfigTools”) manipule los archivos de ayuda de los App Objects e inserte un código XSS persistente que, al ser ejecutado por un usuario víctima, pueda resultar en una escalada de privilegios, ya sea horizontal o vertical.

Hay que considerar que la vulnerabilidad solo puede explotarse durante operaciones en tiempo de configuración dentro del componente IDE de Application Server. Los componentes y operaciones en tiempo de ejecución no se ven afectados.

Recomendaciones

Desde Becolve Digital y AVEVA recomendamos que las organizaciones evalúen el impacto de estas vulnerabilidades según su entorno operativo, arquitectura e implementación del producto. En caso de utilizar versiones afectadas, deberás aplicar las actualizaciones de seguridad para mitigar el riesgo de explotación.

Actualizaciones de seguridad

Todas las versiones afectadas del IDE de Application Server pueden corregirse actualizando a AVEVA System Platform 2023 R2 SP1 P03 o superior.

Medidas defensivas y consideraciones generales

A más a más, considera auditar los permisos asignados para garantizar que solo usuarios de confianza sean agregados al grupo OS “aaConfigTools”.